Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung im Cyberraum so hoch wie nie zuvor.
Besonders Ransomware-Attacken nehmen gravierend zu. Es geht nicht mehr darum, ob, sondern wann ein Unternehmen mit einem Cyberangriff konfrontiert wird – und wie sich dies bestmöglich abwenden lässt, um den Geschäftsbetrieb nicht zu gefährden. Die Europäische Union hat daher die NIS2-Richtlinie entwickelt, um insbesondere kritische Infrastrukturen besser abzusichern. Doch das Thema der Umsetzung sorgt für erhebliche Unsicherheit. Wie bestimmen Unternehmen den aktuellen Stand ihrer NIS2-Konformität richtig und wann müssen sie (tatsächlich!) damit beginnen?
Planmäßig sollte die NIS2-Richtlinie bis zum 17. Oktober 2024 in deutsches Recht überführt sein – jetzt ist von einem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetztes, kurz NIS2UmsuCG, im März 2025 die Rede. Stattdessen hat die EU-Kommission bereits erste Durchsetzungsbestimmungen vorgelegt. Darin sind die Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit detailliert beschrieben – von technischen Vorgaben wie Patch- und Identitätsmanagement über Multifaktor-Authentifizierungs- und Netzwerklösungen bis hin zu Sicherheitsüberprüfungen.
Die Umsetzung der NIS2-Anforderungen ist demnach keine einfache Aufgabe und die Zeit drängt: Je größer das Unternehmen und je komplexer die internen Lieferstrukturen, desto langwieriger der Prüfungs- und Realisierungsprozess. Selbst bei einer einfachen Nachjustierung bestehender TOMs (technischer und organisatorischer Maßnahmen) ist mit einer Umsetzungsdauer von mindestens drei Monaten zu rechnen. Sollte die NIS2-Richtlinie im ersten Quartal 2025 in Deutschland rechtskräftig werden, reicht die Zeit bereits jetzt kaum noch aus. Ein adäquates Handeln ist daher das Gebot der Stunde.
Handlungsempfehlungen für die NIS2-Umsetzung
1. Sensibilisierung des Managements
Der entscheidende Faktor für eine NIS2-konforme IT-Sicherheit ist das Bewusstsein im und der Support durch das Management. Nur wenn die Geschäftsführung bereit ist, sich der Cyberbedrohung zu stellen und die Dringlichkeit modernster IT-Sicherheit anzuerkennen, lassen sich die technischen und organisatorischen Maßnahmen (TOMs) optimal ausrichten und Ressourcen für die Umsetzung einplanen. Ein starkes Argument dahingehend ist die persönliche Haftbarkeit. Die NIS2-Richtlinie sieht vor, dass auch die Geschäftsführung persönlich haftet, wenn sie ihre Pflichten im Hinblick auf Cybersicherheit vernachlässigen.
Wenn ein Hacker beispielsweise über eine Phishing-E-Mail-Zugriff auf die Netzwerkdrucker erlangt und somit auf zahlreiche sensible Daten, die im Unternehmen gedruckt werden, wird geprüft, inwieweit ein Versäumnis seitens der IT-Abteilung oder Geschäftsführung hinsichtlich der Mitarbeitersensibilisierung und der technischen Schutzmaßnahmen vorliegt. Dies kann neben den persönlichen Konsequenzen wie etwa Geldstrafen oder Entlassung auch zu Betriebsunterbrechungen sowie immensen wirtschaftlichen Schäden führen. Um schnell in die praktische Umsetzung zu kommen ist es ratsam, eine durchdachte Roadmap zu erstellen und professionelle IT-Unterstützung für die NIS2-Konformität in Anspruch zu nehmen.
2. Analyse des Ist-Zustands
Um den Anforderungen der NIS2-Richtlinie gerecht zu werden und den konkreten Handlungsbedarf zu ermitteln, müssen Unternehmen zunächst alle bestehenden Informationssicherheitsrisiken analysieren. Dies umfasst die Untersuchung der IT-Infrastrukturen, Assets und Ressourcen sowie die Identifizierung von Schwachstellen. Entscheidend bei einem solchen Security Audit sind die Abhängigkeiten in Prozessen und Systemen. Es ist auch zu überprüfen, welche Sicherheitsmaßnahmen bereits vorhanden sind und wie frühere Sicherheitsvorfälle gehandhabt wurden.
Unternehmen, die bereits Maßnahmen zur Cybersicherheit ergriffen haben und etwa über eine Zertifizierung nach TISAX oder ISO-27001 verfügen, sind im Vorteil, dürfen sich jedoch nicht darauf ausruhen. Ratsam ist es, die organisatorischen und technischen Anforderungen aus ISO27001 oder TISAX mit denen der NIS2-Richtlinie zu mappen und dann ableiten, welche Maßnahmen noch fehlen.
Denn Fakt ist: Es werden definitiv Ergänzungen erforderlich, beispielsweise bei der Auslegung des Meldeverfahrens, spezifischer Schulungen und dem Rollenbewusstsein des Managements. Selbst wenn das letzte Sicherheitsaudit nur wenige Monate zurückliegt, ist eine umfassende Ist-Analyse sinnvoll. Wie schnell kommen weitere Tools und Geräte dazu, die unter Umständen nicht ausreichend gesichert sind? Oftmals sind es einfach nur Mobilgeräte der Mitarbeitenden, die ein potenziell unerkanntes Risiko darstellen, das sich nur mit einer professionellen Bestandsaufnahme und Überprüfung beheben lässt.
3. Übersicht über Prozesse und Verantwortlichkeiten
Im nächsten Schritt ist es erforderlich, alle Unternehmensprozesse und Verantwortlichkeiten zu durchleuchten. Dies beinhaltet eine detaillierte Analyse der Abläufe und Schnittstellen, um die gesamte Unternehmenslandschaft, insbesondere kritische Hauptprozesse wie Produktion, Lohn- und Rechnungswesen oder Vertrieb, vollständig zu verstehen. Insbesondere in Unternehmen mit verzweigten oder vielschichtigen Strukturen oder bei dezentral sowie mobil arbeitenden Teams ist es entscheidend, die klare Verantwortlichkeiten zu schaffen und eine koordinierte Arbeitsweise zu etablieren, wann und wie der Zugriff auf Systeme und Daten möglich ist.
So lassen sich klare Rollenverteilungen für das Sicherheitsmanagement ableiten und Prozessanpassungen sowie -kontrollen etablieren. Dies bildet die Grundlage für ein solides und sicheres Berechtigungsmanagement und Authentifizierungsverfahren. Die Kommunikations- und Zusammenarbeitsstrukturen im Unternehmen sind ebenfalls relevant und müssen lückenlos dokumentiert werden.
4. Beurteilung entlang der Lieferkette
Im Rahmen der Risikobeurteilung sind Lieferketten und Dienstleistungsstrukturen eingehend zu begutachten. Alle externen Serviceunternehmen bergen potenzielle Risiken, besonders bei bestehenden Schnittstellen zwischen Systemen oder beim Datenaustausch. Unternehmen müssen sicherstellen, dass Verträge mit Partnerunternehmen klare Sicherheitsanforderungen definieren, die der NIS2-Richtlinie entsprechen. Dazu gehören Zugangskontrollen, regelmäßige Sicherheitsüberprüfungen und eine offene Kommunikation innerhalb der gesamten Lieferkette.
Dazu ist es ratsam, eine Liste der Partnerunternehmen einschließlich der Art der Zusammenarbeit sowie der genutzten Systeme zu erstellen und eine Risikobewertung durchzuführen: Wo existieren bereits Sicherheitslücken oder wo könnten sie entstehen? Wie wahrscheinlich ist das Eintreten eines Sicherheitsvorfalls durch diese Schwachstelle? Welche Konsequenzen sind zu erwarten? Wie leicht lässt sie sich beheben? Diese Risikobewertung hilft dabei, die notwendigen Maßnahmen zu priorisieren. So sollte beispielsweise der Dienstleister, ohne dessen Zutun der Betrieb stillstehen würde, vorrangig geprüft und alle Prozesse mit diesem abgesichert werden.
5. Etablierung eines Meldekonzepts
Die vorangegangenen Schritte sind Voraussetzung für die Einführung eines Meldekonzepts (Incident Response Plan), das den Anforderungen der NIS2-Richtlinie entspricht. Jeder Mitarbeitende muss genau wissen, was im Ernstfall zu tun ist – zum Beispiel, wer meldet den Vorfall, wer oder was sind betroffen und was könnten Ursachen und mögliche Konsequenzen sein. Detaillierte Prozesse und Workflows für die Erkennung, Meldung und Behandlung von Sicherheitsvorfällen sind entscheidend. Hier gibt es auch deutlich knappere Zeitfenster bzw. Fristen als in bisherigen Regularien.
Ein gut ausgearbeiteter Kommunikationsplan stellt sicher, dass alle internen und externen Stakeholder schnell und effizient informiert werden. Alle Schritte und Entscheidungen während eines Vorfalls sollten systematisch dokumentiert werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Zudem müssen die Fristen für die Mitteilung an das BSI eingehalten und ein professioneller Abschlussbericht erstellt werden. Das Meldekonzept sollte regelmäßig überprüft und aktualisiert werden.
6. Trainings fürs Team
Ein umfassendes und regelmäßiges Cybersicherheitstraining für das Team ist unerlässlich. Dabei ist die Expertise von erfahrenen IT-Spezialisten besonders hilfreich, um von deren Wissens- und Erfahrungsschatz zu profitieren. Regelmäßige Schulungen halten die Mitarbeiter über die neuesten Bedrohungen und Sicherheitspraktiken auf dem Laufenden. Interne Awareness-Kampagnen fördern zudem eine Kultur der Sicherheit und schärfen das Bewusstsein für Cybersicherheitsrisiken. Phishing-Simulationen helfen, das Bewusstsein der Mitarbeiter für solche Angriffe zu schärfen und ihre Reaktionsfähigkeit zu testen. Den Mitarbeitenden sollte Zugang zu aktuellen Ressourcen, Tools und Informationen zur Cybersicherheit bereitgestellt werden, damit sie stets auf dem neuesten Stand sind und die allgemeine Sicherheitslage des Unternehmens verbessern können.
Fazit: Prävention statt Reaktion
Die Verzögerungen auf Gesetzgebungsebene sollten Unternehmen nicht zum Anlass nehmen, das Thema Cybersicherheit auf die lange Bank zu schieben. Denn selbst, wenn man die potenziellen Bußgelder für Unternehmen sowie Haftungsrisiken für Geschäftsführer und Vorstände außer Acht lässt, bleibt noch immer die wachsende Bedrohung durch Cyberkriminelle sowie damit einhergehend mögliche wirtschaftliche und Reputationsschäden für ein Unternehmen. Dabei ist die NIS2-Richtlinie nur ein folgerichtiger Schritt aus dem Bedarf heraus, IT-Strukturen bestmöglich gegen Attacken von außen abzusichern. Cyberangriffe halten sich nicht an bürokratische Fristen. Jetzt ist die Zeit, zu handeln!